La reciente sentencia del Tribunal Supremo de 12 de febrero de 2010, nº 10169/2019, rec.49/2020, nos ha dejado perplejos al establecer la responsabilidad civil del banco, en el caso de un novio sinvergüenza que logró acceder mediante engaño a la casa de su enamorada y, haciéndose con las claves y contraseñas de la tarjeta de crédito, clave de coordenadas, y claves del router, realizo transferencias inconsentidas por las que se apropió de aproximadamente 3.000 euros, fingiendo devolver el dinero mediante ingreso por cajero automático introduciendo un sobre vacío de dinero.
Todos sabemos que las empresas, aun resultando absueltos de la responsabilidad penal, siguen siendo responsables civiles directas por los delitos cometidos en los establecimientos de los que sean titulares, cuando sus empleados hayan infringido reglamentos o disposiciones de la autoridad, que de haberse cumplido hubieran hecho imposible la infracción (art 120.3 CP).
Las entidades bancarias proveedoras de servicios de pago en entornos digitales, están obligadas a probar que una operación ha sido auténtica, registrada con exactitud y contabilizada, de forma que la entrega de unas claves y una tarjeta de coordenadas para hacer transferencias desde una cuenta bancaria no se considera suficiente garantía cuando la realidad demuestra que se ha podido hacer un uso fraudulento de las mismas que, en este caso, el banco no detectó hasta pasadas 24 horas, pudiéndose considerar que existió un fallo técnico o deficiencia del sistema.
De este modo se invierte la carga de la prueba y será responsabilidad de la entidad bancaria demostrar que la operación ha sido auténtica, registrada con exactitud y contabilizada. Además, no serán aplicables a la banca los principios que rigen el proceso penal, "presunción de inocencia" e "in dubio pro reo", porque estamos ante una reclamación civil (SSTS 778/2015 de 3 de noviembre o 333/2018 de 4 de julio).
Para la determinación del lugar de comisión del delito, al tratarse de una acción civil resarcitoria permite la interpretación analógica de la norma y, se considera como establecimiento del banco el entorno digital que la entidad crea como plataforma y medio de prestación de sus servicios esenciales, y de los que obtiene su lógico beneficio.
En lo que respecta al sistema de claves y tarjetas que los bancos entregan a sus clientes para poder realizar transferencias on line, si estas son robadas o apropiadas o utilizadas de forma torticera, salvo que se acredite dolo o grave negligencia del cuentacorrentista, a quien no se le puede exigir custodiar las claves en caja fuerte, se mantendrá la responsabilidad civil del banco, siempre que se demuestran fisuras de seguridad del sistema en el momento de los hechos.
¿Podría haberse librado el banco de abonar la responsabilidad civil?
La directiva europea de pagos PSD2 viene a imponer nuevos datos que aseguren la identidad de quien realiza la transacción: el número del DNI y luego una autentificación reforzada, un PIN que salta en nuestro teléfono o una identificación biométrica (huella dactilar, reconocimiento facial…). Las operaciones utilizan un código único de identificación que vincula una cantidad exacta con un beneficiario específico, realizándose el contacto directo entre el comercio y el banco.
Pero los cambios producidos por la digitalización de la banca y la aparición de las nuevas "fintech" entrañan un nuevo reto de compliance en lo que respecta a protección de datos de los clientes, ciberataques y ciberseguridad, al haber aparecido nuevos riesgos por infracciones relativas a la cesión de datos de los usuarios y cibercrimen, el robo de datos durante el tránsito entre el banco y los nuevos proveedores, la utilización ilícita de esos datos, el riego sistémico en las plataformas de pagos, o el riesgo operacional resultado de la apertura a terceros de las bases de datos.
